気が付けば久々のブログ更新となりました(某企業ブログではちょこちょこ書いてます)
先日のイベントや仕事の中で「Google Workspace を使っている場合に Microsoft 365 を使う場合にどういう構成が取れるのか?」という部分の相談をされたので、こちらについて少し書いてみます。
どういうシナリオがあるのか?
単純にどちらが良い悪いという話しをするのではなく実際によくあるシナリオベースに考えていきたいと思います。実際にSIerやCSPの方から話を聞いたり、自分のまわりの事業会社の方の設計をみると下記のパターンが多いように思います。
Google Workspace + Microsoft 365 Apps for business/for enterprise
メインで使っている Google Workspace を基本的には使うが、ドキュメント作成においてWord/Excel/PowerPoint などが必要なので Office 製品を使うために Microsoft 365 のライセンスで購入するというものです。誰しもが思い浮かぶ一般的な利用スタイルかと思いますが、IdP目線となると何も考慮しないケースが多いように思います。
Microsoft 365 Apps for business/for enterprise を使う人数や割合によってはSAMLを考えたほうが良いかと考えます。Google Workspace Enterprise (Enterprise Standard, Enterprise Plus など)および Cloud Identity Premiumを使っている場合は合わせてSCIMも考慮することをおススメします。
このシナリオにおいては Microsoft 365 は Officeのためだけなので何も使わないので、とりあえずダウンロードできればよいというゴール設定がほとんどかと思いますが、運用の部分であったり今後の拡張性を考えると早い段階で全体的な設計をしていただきたいと思います。
後述するようなシナリオを考慮した際に IdP を変更する可能性が低い場合は SAML や SCIM の設定をしているケースは実際に多くあります。今回は深くは触れませんが Teams などのシナリオを考慮して Microsoft 365 に独自ドメインの設定をするなど考慮したほうがよいと思います。このあたりは双方のグループウェアの知識がないとわからない部分であり、シナリオとしてもあまり該当するケースも多くないのでネット上で記述がないように思います(企業もお金にならないから書かないですし)
Google Workspace のユーザー全員に Microsoft 365 Apps for business/for enterprise のライセンスを付与している場合においても 、IdP を Microsoft 365(Microsoft Entra)にするとなると手間や機能面でのメリットが少なく、IdPとしては既存のままで、SAML や SCIM を検討するというシナリオに落ち着くケースが多いかと思います。
※(2025年10月時点)SAML や SCIM をするとなると Google / Microsoft のどちらのドキュメントもその通りにやってもできないので、お仕事でこういう観点含めて支援しているケースもあります。
Google Workspace + EMS(Enterprise Mobility + Security) E3
このシナリオは会社の Windows 端末を Microsoft Intune で管理したい(ゼロタッチデプロイの観点でWindows Autopilotを入れたいも含)というケースです。
Microsoft Intune としては 一般的な Intuneライセンス(Microsoft Intune Plan 1)を買えば利用はできるのですが「管理したい」という文脈になると、セキュリティ面からBYOD制御であったり、自動化の観点でのWindows Autopilotであったりが要件となり(設計に動的グループという機能が推奨となる)、結果としてEntra ID P1 ライセンスが必要となることがあります。
「Microsoft Intune Plan 1」と「Entra ID P1」というライセンスの組み合わせになるのですが、これをそれぞれ購入するよりタイトルにある「EMS(Enterprise Mobility + Security) E3」を購入したほうが安くなります。※大企業での特殊なディスカウントでもない限り
ここので悩ましいのが Microsoft Intune でどの端末を管理するのかという観点です。Google Workspace を利用しているユーザーの数だけ EMS E3を購入しているのであれば IdP を Microsoft 365(Microsoft Entra)にすることを推奨します※。利用端末として Mac の方が多くて別の MDM を使っているであったり、ファーストラインワーカーの方が多くてそもしも端末管理が不要などの場合は IdP はそのままとするという判断をすることもあるかと思います。
※Google Workspace Enterprise (Enterprise Standard, Enterprise Plus など)および Cloud Identity Premiumで作りこんでいる場合は相談になるかと思いますが、そういうケースを聞いたことは正直ない。そういうスキルがある情シスの方は作りこむ前に IdP 選定をしており Microsoft 365(Microsoft Entra) ないしは Okta などに変更していることが多いのかと推測している。
ここで本来は検討をすることが必要になるのですが、とりあえずやってみたということで IdP の考慮がされておらず、ベストプラクティスを大きく外した設計をして相談をされるケースもあります。設計がわるい中でユーザー影響少なくベストプラクティスに近づけるって設計が毎回個別になるので結果的に高くなるのは理解をしてください。設計を支援してもらう方が最終的に安かったねという残念なケースも見ているので、内製をする場合は国井さんのIntune本などを読んでいただいて大きくポイント外さずに設計することをおススメします。
通常 IdP はユーザーやグループを一元管理するという使い方をするケースが多いかと思いますが、IdP はそのままとすると動的グループなどは Microsoft 365 側での作成となる点はご注意ください。
Mac の利用用途が限られており、台数が多くない場合であれば Microsoft Intune で管理をするように設計してシンプルにすることをおススメしますし、高度な管理をしたいのであれば Mac に特化した MDM にするケースが多いというのが実情かと思います。ある程度の規模になるとこのあとにOktaを考慮するケースなどもおおいですが今回はこれぐらいで、、、
その他
XDRの観点で Microsoft Defender (単体のライセンス)を入れるということで Microsoft 365 を使うことになるケースがあります。これは考え方の本質は Microsoft Intune と同じ考え方になるかと思います。
セキュリティという文脈での対応となるので、「Entra ID P1」を購入して IdP を Microsoft 365(Microsoft Entra)に変更するというのが良いケースがほとんどです。しかし、XDRの費用という観点だけでは費用的に難しいので断念をされてIdPは変更せずに、上のIntuneの文脈とセットにしてセキュリティ強化という観点に広げて「EMS E3」のケースをベースにXDRを追加対応するという整理にすることが多いように思います。
最後に
Google Workspace を使っている場合、Microsoft 365 を使わないという単純な二元論ではありません。ベストオブブリード的に良い部分を使うという考えをすると、Microsoft 365との共存をすることになるケースが多いです。
グループウェアを使う場合にそのグループウェアの既定のIdPを使い続けないといけないというものではありません。複数グループウェアを使う場合にどっちを使うかを検討すればよいですし、外部のIdPを使うということも選択肢としてはあります。
オンプレミスの時代でもそうでしたが、認証・認可のシステムというのは土台になります。あれこれ SaaS を入れている会社が最後に IdP を検討して、すべての SaaS の設定をいじるなんてことも実際にあるので IdP についてあまり考えてこなかったという場合は考えるきっかけにしていただければと思います。
